Säkerhetsforskare på F-Secure har hittat flera sårbarheter i en NAS-enhet som vid ett angrepp kan utnyttjas för att stjäla data och lösenord, samt dessutom köra kommandon på distans. Sårbarheterna kan gälla flera modeller.
Säkerhetsforskare på F-Secure har upptäckt tre sårbarheter i en NAS (Network Attached Storage) från QNAP Systems Inc. Cybersäkerhetsföretaget varnar nu att sårbarheterna vid ett angrepp kan utnyttjas för att ta kontroll över påverkade enheter. Sårbarheterna har bekräftats i en modell, men kan gälla miljontals enheter som används idag. Det är ytterligare ett i raden av sårbarheter som påträffats i osäkra produkter som utsätter användarna för risker och gör dem sårbara för online-hot.
Forskarna upptäckte sårbarheterna när de undersökte NAS-enheten TVS-663 från QNAP. När de analyserade upptäckten närmare kunde de konstatera att svagheter i processen för att uppdatera systemmjukvaran (enhetens firmware) gjorde det möjligt för en angripare att få administratörsrättigheter på enheten. Det innebär att de kan göra sådant som att installera skadlig kod, får full tillgång till innehållet på enheten, stjäla lösenord och till och med köra kommandon på distans.
Harry Sintonen, Senior Security Consultant på F-Secure, har tagit fram en egen lösning (proof-of-concept exploit) för att bekräfta att hackare skulle kunna utnyttja de upptäckta sårbarheterna: ”Många av den här typen av sårbarheter är inte särskilt allvarliga var och en för sig. Men angripare som kan utnyttja dem alla på en gång kan skapa en enorm säkerhetslucka, säger Sintonen. ”Framgångsrika hackare inser att även små misstag i säkerheten kan utgöra stora möjligheter – om man bara vet hur man utnyttjar dem.”
Sintonens proof-of-concept drar nytta av det faktum att enheten skickar okrypterade förfrågningar för nya firmware-uppdateringar, vilket gör det möjligt för potentiella hackare att fånga upp dem och skicka modifierade svar på förfrågan. Sintonen kunde därmed skicka in sin mjukvara förklädd till en legitim uppdatering. Den falska firmware-mjukvaran lurar sedan enheten till att automatiskt installera det. Och även om den falska uppdateringen aldrig installeras i verkligheten så utnyttjar den en säkerhetslucka som ger fullständiga administratörsrättigheter åt angriparen.
Enligt Sintonen är det därmed en smal sak att stjäla eller modifiera data: ”Allt du egentligen behöver göra är att säga åt enheten att du har en ny version av firmware och eftersom hela uppdateringsprocessen sker okrypterat är det inte särskilt svårt att utföra. Och det är det svåra, när det väl är gjort är allt som hackare kan tänkas vilja göra med enheten ungefär som att stjäla godis från barn.”
Även om Sintonen inte tittat närmare på någon annan enhet än QNAP TVS-663 så misstänker han att modeller som har samma firmware lider av samma säkerhetsproblem. Baserat på detta uppskattar Sintonen att det finns fler än 1,4 miljoner sårbara enheter – även om han utan omsvep erkänner att siffran kan vara mycket, mycket högre.
”Vi hittade 1,4 miljoner enheter genom att undersöka vilka versioner av firmware som används. Men eftersom många aldrig uppdaterar firmware på sina enheter, kan siffran vara mycket högre. Det kan handla om miljontals ytterligare enheter”, säger han.